我喜欢黑夜,喜欢网络安全,孤独寂寞的黑夜里,我只需要,一包烟,一台笔记本...
更多
首  页>>JAVA安全开发>> 漏洞信息雅信达语言学科网络平台上传漏洞
雅信达语言学科网络平台上传漏洞
4396
0推荐
0评论

此漏洞发现很久了,由于一直来很都大牛都不屑发出来,那么小菜今天就发下吧!
雅信达学习平台是一套应高校外语教改课题而生的语言学科网络学习平台,采用基于校园网运行的B/S架构,具有“技术先进”、“内容丰富”、“功能新颖”等特点。对于语言类的学习是一个非常好的辅助工具,该系统大部分在windows+tomcat环境上运行,jsp一般是以system权限允许,所以一旦getshell,服务器就会沦陷.

   问题出在上传,在普通用户登录系统后,在个人信息里面会允许上传图片,不过对于上传没有做任何限制,只要能注册就能拿shell,

直接上传jsp的马就可以getshell,不过有点小问题,没法注册,我仔细看了一下,大部分网站只是把注册的按钮给删除了,并没有删除注册的连接 直接访问 就可以搞定,官网同样存在此漏洞,http://www.admin163.net/jasinda/iswin.txt
服务器也搞下了,


  本文“雅信达语言学科网络平台上传漏洞”,来自:随风'S Blog,本文地址:http://www.iswin.org/?p=21,转载请注明出处!

已经有 ( 0 ) 位网友对此发表了自己的看法,你也评一评吧! 此文不错,我要推荐-->    推 荐
欢迎参与讨论,请在这里发表您的看法、交流您的观点@禁止各种脚本

  • 点击Top
  • 推荐Top
  • 评论Top
更 多>>
本站采用Java语言开发,Spring框架,欢迎朋友们提意见。重新对页面进行布局,修改了程序,方便开源使用,由于本人美工真的不行 ,很少用背景图片,页面基本都用背景色...
主题:无色无味 | 网站地图|
Copyright (c) 2012-2013 www.shack2.org All Rights Reserved. | 空ICP备111111111号 | 程序设计: shack2 Powered by SJBlog v1.0 联系QQ:1341413415